2021 年

2021-03-29

---

我要退貨！瞄準客服人員的社交工程攻擊！

近日 MailCloud 郵件防詐騙中心觀察到一波加密病毒信攻擊事件。網路罪犯以商品瑕疵為由寄送客服信件，將商品照片存成壓縮檔並加密，當客服人員依照信件內文提供的密碼解壓縮後，點擊資料夾內的 Office 檔案時，防毒引擎忽然跳出警告訊息，才驚覺有異。若該電腦主機未即時更新病毒碼，很可能就會被植入木馬病毒。

根據研判，此為結合社交工程與加密壓縮檔的郵件攻擊。攻擊者為了繞過防毒引擎檢查，將病毒打包成 zip 壓縮檔、刻意以加密保護，並在信件內文附上解壓縮密碼。如果收件者依指示輸入密碼解壓縮附檔，將會出現一個 doc 類型的病毒檔。這類的加密病毒信，壓縮檔格式大部分是 zip，偶爾會有 7z 或 rar 等類型。

為了防止這類加密病毒信攻擊，MailGates 資安團隊開發了加密附檔防護機制，以下說明其運作流程：

1. 管理者制定防護政策後，系統會自動檢查郵件附檔，若偵測到加密附檔，就會將該信件留置於隔離區。
2. 若有信件被留置在隔離區，MailGates 系統將發送隔離通知信給使用者。
3. 使用者點擊通知信連結登入隔離區，可檢視信件內容，並輸入密碼解壓縮。
4. 如果解壓縮成功，防毒引擎會立即掃描壓縮檔內所有檔案是否安全，若判定為可疑檔案，將提交至沙箱環境進行分析。

                        【圖 1、加密附檔防護流程圖】

雖然此類攻擊需使用者手動輸入密碼、解壓縮並點開檔案才會受害，但信件內容經過社交工程設計後，情境及用語若十分符合，很可能就會誘騙成功。企業用戶除了透過教育訓練，提升員工資安意識外，可導入郵件防護解決方案，保護企業組織免於威脅。

                                      【圖 2、輸入密碼解壓縮，即時分析掃描】

 

關於 MailGates 郵件防護系統

MailGates 郵件防護系統提供即時完整的郵件安全服務，充分掌握電子郵件相關之各項攻擊與威脅行為，提供內嵌式防毒功能，自動偵測並過濾各式垃圾郵件，有效解決惱人的網路攻擊與郵件資安問題，為用戶提供完善郵件防護。具備雙核心雲端防護過濾引擎，以在地化樣本觀察與全球即時探測的零時差防禦技術，全方位掌握垃圾郵件特徵。結合垃圾郵件攔截、企業郵件系統防護、收發紀錄檢視及統計報表發送等多項貼心功能，並率先同業支援 IPv6 ，全面提升產品相容性。MailGates 郵件防護系統將持續鑽研郵件資安領域，協助企業打造最安全、順暢、可靠的郵件溝通管道。更多產品訊息，請瀏覽產品網頁 http://www.openfind.com.tw/taiwan/products/mailgates/info.html